HEALTH DATA HUB Présentation de l'étude de réversibilité 7 novembre 2019 - DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA

 
CONTINUER À LIRE
HEALTH DATA HUB Présentation de l'étude de réversibilité 7 novembre 2019 - DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
HEALTH DATA HUB

Présentation de l’étude de réversibilité

7 novembre 2019

                       DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
                          HUB – PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)
                                                                                   1
HEALTH DATA HUB Présentation de l'étude de réversibilité 7 novembre 2019 - DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
▪ Contexte

▪ Etude de réversibilité

▪ Capitalisation sur les travaux menés

                                                                                       2    2
                                         Copyright © 2017 Capgemini. All rights reserved.    2
▪ Contexte

▪ Etude de réversibilité

▪ Capitalisation sur les travaux menés

                                                                                            3
                                         Copyright © 2017 Capgemini. All rights reserved.    3
Le Health Data Hub a pour mission de permettre l’exploitation des données de santé françaises

                                                   ▪ La France dispose d’une richesse unique au monde : un patrimoine de données de santé décrivant
                                                     l’intégralité de sa population
                                                   ▪ Ces données, constituées grâce au financement public de la protection sociale, rassemble des
                                                     données à la fois administratives et cliniques
                                                   ▪ Néanmoins, ces données sont actuellement sous-exploitées, les chercheurs français ont du mal à y
                                                     accéder et n’ont pas les moyens techniques pour mener à bien leurs travaux de recherche
                                                   ▪ La primeur de ces innovations, que la France pourrait porter, est de plus en plus captée par des
                                                     puissances étrangères comme ce fut le cas pour les premiers algorithmes en imagerie médicale

   Comme annoncé par le Président de la République, il devient nécessaire de mettre en place d’une plateforme pour faciliter l’accès et le traitement
                                                des données de santé par les personnes habilitées
                                                              Les enjeux de cette plateforme sont :

         SÉCURITÉ                                              FONCTIONNALITÉ & PERFORMANCE                                COÛTS & DÉLAIS
  ▪ Solution agréée ou certifiée « Hébergeur de         ▪ Service mature, se positionnant comme une                  ▪ Existence d’un véhicule contractuel
    données de santé »                                    référence internationale sur le marché                       directement accessible dans l’attente de la
  ▪ Arrêté relatif au référentiel de sécurité du        ▪ Offre couvrant les besoins fonctionnels du                   stratégie Cloud française
    Système National des Données de Santé                 Health Data Hub                                            ▪ Solution permettant la mise en place rapide
                                                                                                                       de la plateforme de préfiguration

                                                        DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                     4
La mise en place du Health Data Hub suit une feuille de route technique

    Mars                       Avril         Mai                  Juin                       Juillet                         Septembre                   Octobre                Novembre                         Décembre                        Janvier                  Février                   (…)

                                                                                                                     PRISE DE DÉCISION                                                                                                    CYCLE DE VIE DES PROJETS DE RECHERCHE
                                                                                                                                                                                                     Homologation                                                               Livraison si autorisation
                                                                                                                                                                                                uniquement si audit    Autorisation CNIL uniquement si                          CNIL obtenues &
                                                                                                Rédaction du rapport d’homologation                                                                                    plateforme homologuée
               DÉFINITION DE LA                                                     Points de suivi de l’implémentation de la démarche de sécurité
                                                                                                                                                                                                   technique positif                                                            homologation projet
         STRATÉGIE D’HOMOLOGATION
                                                                                                                                                                                                                             Soumission du dossier projet à la CNIL              Livraison des données
                                                                                                                                                                                                            Homolog.

                                                                                                                                                                                                                         Délai légal : 2 mois renouvelable une fois       Homologation de l’espace projet

                                                                                 MAÎTRISE DES RISQUES                                                      Audits orga. &                                                                     SUIVI DE L’HOMOLOGATION
                                                                                                                                                              archi.
                                                   Mise à Jour de l’analyse               Mise à Jour de l’analyse                                                                                                                                   Suivi de l’homologation
        Analyse de Risque                                 de risque                              de risque
                                                                                                                            Analyse de risque EBIOS RM
                                                                                                                                                                  Audits de conf. et tests de
                                                                                                                                                                         pénétration

                         Analyse de                         Analyse de
                             risque                             risque                                                                                                                                                   ▪    Suivi des indicateurs de pilotage de la SSI
                                                                                                                                                                                                                         ▪    Gestion des incidents de sécurité
                                                                RÉALISATION DE LA PLATEFORME DE PRÉFIGURATION                                                                           Rapport des audits               ▪    Suivi du plan d’amélioration continue
                                                                                                                                                                                                                         ▪    Mise à jour de l’homologation
 Spécifications / Conception                                                    Architecture /
          générale                                                            Conception détaillée

                                                                              Développement de la plateforme de préfiguration
                                                                                                                                                                                      Remédiation                                                               MCS
                                                                                    (intégration, développement et tests)

                                                                                                                                                                                                                       Autorisation ferme d’emploi

      Légende :

            Atelier réalisé avec la CNIL

            Atelier réalisé avec l’ANSSI

            Atelier réalisé avec la DINSIC
                                                                                      DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                                              PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                                                                                                                              5
Une étude de l’écosystème technique a été conduite pour identifier la solution d’hébergement
                                                  SÉCURITÉ                            FONCTIONNALITÉ & PERFORMANCE                               COÛTS & DÉLAIS

            AZURE                                                                          Solution sélectionnée

             OVH                                                                  Pas de GPU dans l’environnement certifié HDS          Pas de véhicule contractuel existant

                                                                                                                                      Coûts de réalisation chiffrés à 2,5 M€
        SANTÉOS                                                                                                                   Durée estimée entre 5 et 8 mois, pas de véhicule
                                                                                                                                                   contractuel

             AWS                         Pas agréé / certifié HDS                                                                           Pas de véhicule contractuel

              GCP                        Pas agréé / certifié HDS                                                                           Pas de véhicule contractuel

                                                                                  Pas de CPU / GPU dimensionné pour la science
    DOCAPOSTE                                                                                    des données
                                                                                                                                                          -

                                                                                     Dimensionnement ne permettant pas de         Complexité de contractualisation élevée (institut
      PADAWAN                            Pas agréé / certifié HDS
                                                                                         répondre aux besoins du HDH                              de recherche)
                                                                                     Dimensionnement ne permettant pas de
         TERALAB                         Pas agréé / certifié HDS
                                                                                         répondre aux besoins du HDH
                                                                                                                                                          -

                                                                                   Pas de GPU, peu de latitude pour ajouter des
            CASD                         Pas agréé / certifié HDS
                                                                                                 fonctionnalités
                                                                                                                                             Tarif par utilisateur élevé

                                                                                                                                      Offre IaaS, délai d’intégration important
              OBS                                                                       Pas de GPU dans l’offre souveraine
                                                                                                                                       Pas de véhicule contractuel existant

      OUTSCALE                           Pas agréé / certifié HDS                                   Pas de GPU                        Offre IaaS, délai d’intégration important

   Etude terminée en février 2019, lors du choix de la solution
                        d’hébergement                               DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                            PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                          6
La DREES reste consciente des enjeux de réversibilité et de sécurité de la plateforme

  LA PLATEFORME DE PRÉFIGURATION A ÉTÉ PENSÉE POUR ÊTRE LA PLUS RÉVERSIBLE POSSIBLE
                                                                       ▪ Les données stockées pourront être facilement transférées : les
                                                                         coûts sont maîtrisés et aucun format propriétaire n’est utilisé (coût
                                                                         d’export de données : ~0,07€ / Go soit ~7 k€ pour 100 To)
                                                                       ▪ Les algorithmes seront développés avec des technologies de
                                                                         référence, indépendantes de la solution d’hébergement

                                                                       ▪ Les éléments de la plateforme seront en partie réutilisables
                                                                         (architecture, scripts de déploiement, etc.)

  ELLE A ÉTÉ CONÇUE POUR OFFRIR UN CONTEXTE DE SÉCURITÉ ADAPTÉ À L’HÉBERGEMENT DE DONNÉES DE SANTÉ
                                                                       ▪ La plateforme n’hébergera que des données de santé
                                                                         pseudonymisées

                                                                       ▪ Elle repose sur un environnement certifié « hébergeur de
                                                                         données de santé », selon les normes proposées par l’ASIP-Santé

                                                                       ▪ Les briques de sécurité active sont externalisées et reposent sur
                                                                         des technologies certifiées par l’ANSSI ou Critères Communs pour
                                                                         répondre aux exigences des textes applicables et des bonnes
                                                                         pratiques

                                        DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                 7
Cette plateforme repose sur l’utilisation de services « PaaS », simplifiant fortement son intégration

                  Cat.             Brique                       Description                                            Cat.           Brique                     Description
                                                    Espaces pour stocker les données et                                                              Structuration des espaces de stockage en
                               Stockage                                                                                         Stockage objet
                                                    éléments de la plateforme                                                                        mode objet
                               Sauvegarde           Espaces de stockage économique sans                                                              Structuration des espaces de stockage en
                                                                                                                                Stockage fichier
   SERVICES                    (stockage)           haute disponibilité                                                                              mode fichier
    “IAAS”    Infrastructure
                                                    Puissance de calcul nécessaire à la                                         Import               Ingestion des données venant de
                               Calcul
                                                    plateforme et aux travaux de recherche                                      plateforme           l’extérieur de la plateforme
                                                                                                                                                     Déplacement et transformation des
                               Réseaux              Capacités de transfert de données                                           ETL
                                                                                                                                                     données (chiffrement, etc.)
                                                                                                                   Données
                               Gestion des          Identification et gestion des accès des                                                          Gestion des événements générés par les
                                                                                                                                Evénements
                               identité             éléments de la plateforme                                                                        éléments de la plateforme
              Général
                                                    Maintien en conditions opérationnelles
                               Supervision                                                                                      Workflow             Séquençage et orchestration d’actions
                                                    des ressources, suivi des coûts
                               Infrastructure de    Mise à disposition de bureaux virtuels                                      Chiffrement          Protection de la confidentialité des
                               bureaux virtuels     maîtrisés pour les utilisateurs                                             données              données
                                                                                                     SERVICES                                        Organisation globale des données
                               Pare-feu             Filtrage des flux réseaux                                                   Gouvernance
                                                                                                      “PAAS”                                         présentes sur la plateforme
                                                    Protection contre les éléments                                              Travail              Gestion de projet et automatisation de
                               Anti-virus
                                                    malveillants                                                                collaboratif         l’intégration de codes
   SERVICES                    Puits de traces et   Centralisation, exploration et analyse des                                  Traitement non       Langage de programmation pour lancer
    “PAAS”                     outil d’analyse      traces                                                                      distribué            des traitements non distribués
                               Gestion de l’info.                                                                               Traitement           Langage de programmation pour lancer
              Sécurité                              Analyse avancée des traces
                               de sécu. (SIEM)                                                                                  distribué            des traitements distribués
                               Scellement des                                                                                                        Structuration des données selon le
                                                    Conservation de l’intégrité des traces                         Projet       Base relationnelle
                               traces                                                                                                                modèle relationnel
                               Gestion des                                                                                                           Structuration des données selon les
                                                    Gestion des tickets utilisateurs                                            Base NoSQL
                               services info.                                                                                                        modèles semi ou non relationnels
                               Gestion des clés     Protection de l’intégrité et de la                                                               Visualisation graphique des données ou
                                                                                                                                Visualisation
                               de chiffrement       confidentialité des clés de chiffrement                                                          résultats produits
                               Réseau virtuel                                                                                   Import / export      Import ou export de données mis à
                                                    Mise en place de connexions sécurisées
                               privé (VPN)                                                                                      projet               disposition aux projets
                                                                   DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                           PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                                     8
▪ Contexte

▪ Etude de réversibilité

▪ Capitalisation sur les travaux menés

                                                                                            9
                                         Copyright © 2017 Capgemini. All rights reserved.    9
Une étude de réversibilité a été lancée en parallèle de la mission

                          1                                                      2                                                         3
             Etude comparative des                                                                                              Mise en œuvre de la
                                                                  Etude de réversibilité
            solutions d’hébergement                                                                                                réversibilité

   ▪   Définition des critères de comparaison des    ▪     Définition du scénario d’étude selon la                ▪     Rédaction du plan de réversibilité
       solutions d’hébergement                             solution d’hébergement sélectionnée                    ▪     Mise en œuvre du plan de réversibilité en
   ▪   Evaluation de chaque solution selon les       ▪     Chiffrage du scénario défini                                 adéquation avec la stratégie Cloud
       critères définis                              ▪     Comparaison des coûts avec le scénario de                    nationale
   ▪   Sélection d’une solution d’hébergement la           la plateforme de préfiguration
       plus adaptée à l’étude de réversibilité       ▪     Evaluation des économies réalisées.

                                                                                                                               Note sur le lancement du
             Critères de comparaison                             Référence de comparaison
                                                                                                                                 plan de réversibilité
         Niveau de contribution à la stratégie
         Cloud de l’Etat
                                                                                                                      La mise en œuvre du plan de réversibilité
         Présence d’une certification / agrément                                                                      s’effectuera dans un second temps, selon les
         « Hébergeur Données de Santé »                  La plateforme de préfiguration sert de
                                                                                                                      retours d’expérience de la mission du
                                                         référence pour élaborer le scénario de
                                                                                                                      Health Data Hub et l’évolution des offres
         Offre de service adaptée pour des               réversibilité
                                                                                                                      françaises pour répondre aux différentes
         traitements en science des données
                                                                                                                      contraintes de la plateforme
         Efforts à fournir pour intégrer la couche
         applicative

                                                     DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                             PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                        10
Le scénario de réversibilité retenu présente certaines limites

       Le scénario de réversibilité défini sur OVH est une adaptation                         … qui présente encore aujourd’hui certaines limitations aussi
             du scénario de la plateforme de préfiguration…                                      bien au niveau de la réalisation que du fonctionnement

   ▪     Le scénario de réversibilité a été construit en capitalisant sur le              ▪     Expérience utilisateur dégradée :
         scénario de la plateforme préfiguration, autrement dit, la                               ▪ L’utilisation de serveurs dédiés introduit un manque
         plateforme doit couvrir :                                                                    d’élasticité des ressources (e.g., processeurs graphiques)
                                                                                                      limitant la performance lorsque la demande dépasse les
           ▪   Les mêmes fonctionnalités (e.g., traitements distribués)
                                                                                                      capacités allouées en phase de fonctionnement
           ▪   Les mêmes besoins matériel (e.g., mise à disposition de                    ▪     Surcoût :
               processeurs graphiques)
                                                                                                  ▪ Le manque de maturité de l’offre PaaS d’OVH induit
           ▪   Les mêmes exigences de sécurité (e.g., certification HDS)                              d’important coûts d’intégration en phase de réalisation
           ▪   Les mêmes principes d’architecture (e.g., le principe de                           ▪ Le provisionnement de ressources non exploitées induit des
               défense en profondeur)                                                                 coûts « non utiles » en phase de fonctionnement
                                                                                          ▪     Délai supplémentaire :
   ▪     Certaines adaptations ont néanmoins dû être réalisées pour
                                                                                                  ▪ L’intégration des nombreuses solutions tierces induit des
         fournir valider ces exigences :
                                                                                                      délais supplémentaires en phase de réalisation
           ▪   Combinaison des offres Cloud privé et serveurs dédiés                              ▪ Le déploiement de ressources supplémentaires (e.g.,
               d’OVH pour fournir un environnement « IaaS / PaaS »                                    serveurs), pour satisfaire la demande, allonge les délais de
               (Cloud privé) et donner accès à des GPU (serveurs dédiés)                              mise en fonctionnement
                                                                                          ▪     Complexité de gestion de la sécurité :
           ▪   Intégration de nombreuses solutions tierces pour combler
               le manque de maturité de l’offre PaaS d’OVH                                        ▪ La multitude de solutions tierces intégrées limite la
                                                                                                      cohérence des traces et impacte la traçabilité des actions
                                                                                                      réalisées

                                                         DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                 PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                    11
L’offre PaaS d’OVH présente un niveau de maturité plus faible que celui d’Azure (sept. 2019)
  Cat.         Brique            Scénario Azure           Scénario OVH*                Cat.          Brique         Scénario Azure            Scénario OVH*                LÉGENDE
                                                        Ceph / OpenStack Swift                                                              Ceph / OpenStack Swift
           Stockage             Azure blob storage                                             Stockage objet     Azure Blob Storage                                          Brique PaaS / IaaS
                                                        / Scality                                                                           / Scality

           Sauvegarde                                                                                             Azure File / Azure Data
                                                                                                                                                                              disponible dans l’offre
                                Azure Archive           Ceph                                   Stockage fichier                             Vmware                            de l’hébergeur et
           (stockage)                                                                                             Lake Storage
Infra.                                                                                                                                                                        sélectionnée
                                                        Cloud privé (OpenStack                 Import             Azure Gateaway +
           Calcul               Azure VM                                                                                                    SFTP
                                                        / Vmware)                              plateforme         Azure Data Factory

                                Azure Virtuel
           Réseaux                                      Vrack + NSX                            ETL                Azure Data Factory        Talend
                                Network
                                                                                     Données                                                                                  Brique PaaS / IaaS
           Gestion des                                  OpenIAM / AD /
           identité
                                Azure AD
                                                        Shibboleth
                                                                                               Evénements         Azure Data Factory        RabbitMQ / Kafka / etc.           disponible dans l’offre
Général                                                                                                                                                                       de l’hébergeur mais
                                                        VMware operation
           Supervision          Azure Monitor                                                  Workflow           Azure Data Factory        Node red / BPM                    non sélectionnée
                                                        manager

           Infrastructure de                                                                   Chiffrement
                                Citrix Cloud            OVH Cloud Desktop                                         SDK Azure                 GPG
           bureaux virtuels                                                                    données

           Pare-feu             Fortinet & Palo Alto    Fortinet & Palo Alto                   Gouvernance        Azure Data catalog        Informatica / Collibra
                                                                                                                                                                              Brique PaaS / IaaS non
                                                                                                                                                                              disponible nécessitant
           Anti-virus           Trend Micro             Trend Micro
                                                                                               Travail
                                                                                                                  Azure DevOps
                                                                                                                                            gitLab (hébergé et                d’être entièrement
                                                                                               collaboratif                                 sécurisé)                         intégrée
           Puits de traces et                                                                  Traitement non
                                Azure Log Analytics     Logs Data Platform                                        Azure DSVM + patch        Master ad-hoc
           outil d’analyse                                                                     distribué

           Gestion de l’info.                                                                  Traitement
Sécurité                        Azure Sentinel          Splunk                                                    Azure HDInsights          Spark
           de sécu. (SIEM)                                                                     distribué

           Scellement des       Tiers archiveur de      Tiers archiveur de                     Base                                         PostgreSQL / Maria DB
                                                                                     Projet                       PostgreSQL managée
           traces               confiance               confiance                              relationnelle                                / MySQL
                                                                                                                                                                      L’intégration d’une brique technologique
           Gestion des
                                Service Now (cible)     Service Now                            Base NoSQL         Azure CosmosDB
                                                                                                                                            Clé valeur, Graphe,           non présente dans l’offre PaaS de
           services info.                                                                                                                   Document                    l’hébergeur implique une importante
           Gestion des clés                Azure Key                                                                                        QlikView, Tableau,          charge d’intégration (coûts et délais)
                                HSM                     HSM                                    Visualisation      PowerBI
           de chiffrement                  Vault                                                                                            Kibana, Grafana

           Réseau virtuel                                                                      Import / export
                                Azure VPN Gateway       Gateway NSX                                               Azure Explorer            SFTP
           privé (VPN)                                                                         projet

                                  * Exemples de technologies                   DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                                       PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                                          12
Les chiffrages d’OVH et d’Azure reposent sur les hypothèses de croissance identiques

                        Projets « de recherche » - type 1                                                     Projection projet de référence
                                                                                                   Hypothèses de croissance du nombre de projets type 1 et type 2
     ▪   Les projets de recherche de type 1 ont des besoins de
         performance élevés pour réaliser des traitements avancés en               100
         science des données                                                                                                                                        80
                                                                                    90
     ▪   Ces projets sont donc caractérisés par des besoins plus élevés en                                                                                70
                                                                                    80
         capacité de stockage et puissance de calcul                                                                                      60
                                                                                    70
     ▪   Il s’agit de projets de taille réduite avec une moyenne de 7
         utilisateurs par projet                                                    60                                       50

                                                                                    50
                                                                                                              40
                     Projets « accès permanent » - type 2                           40
                                                                                         Projets type 1
     ▪   Les projets de recherche de type 2 ont des besoins de                      30
         performance intermédiaires voire faibles                                        Projets type 2
                                                                                    20
                                                                                                                                          20              20        20
     ▪   Ces projets sont donc caractérisés par des besoins                                                                  15
                                                                                    10
         intermédiaires en capacité de stockage et puissance de calcul                        10              10
                                                                                     0
     ▪   Il s’agit de projets de taille plus grande avec une moyenne de 20                     S             S+1            S+2           S+3            S+4        S+5

         utilisateurs par projet                                                                            Nombre de projet type 2   Nombre de projet type 1

                                                     DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                             PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                             13
Les résultats de l’étude de réversibilité justifient la stratégie en deux vitesses du Health Data Hub

                            Comparaison scénario OVH et scénario Azure                                                                               Résultats
    Coûts non cumulés                                                                                      Coûts cumulés
         (barres)                                                                                             (traits)
           6,0M€
                      phase de                                     phase de
                                                                                                              25,0 M€
                                                                                                                                 Phase de réalisation :
                     réalisation                                fonctionnement
                                                                                                                                 ▪   Les coûts de réalisation du scénario OVH sont
           5,0M€
                                                                                                                                     supérieurs à ceux du scénario Azure (2,2M€
                                                                                                              20,0 M€                vs. 0,9M€)

           4,0M€
                                             Azur                                                                                ▪   La durée de la phase de réalisation du
                                                e
                                              OV                                                              15,0 M€
                                                                                                                                     scénario OVH est supérieure à celle du
                                               H
                                                                                                                                     scénario Azure (12 mois vs. 6 mois)
           3,0M€

                                                                                                              10,0 M€
                                                                                                                                 Phase de fonctionnement :
           2,0M€
                                                                                                                                 ▪   Les coûts de fonctionnement du scénario de
                                                                                                              5,0 M€                 réversibilité OVH sont en moyenne inférieurs
           1,0M€
                                                                                                                                     de 275 k€/S par rapport à ceux d’Azure

           0,0M€                                                                                              0,0 M€
                       Coûts de          S          S+1         S+2           S+3        S+4         S+5                         Point d’équilibre des coûts :
                      réalisation
                                                                                                                                 •   Le point d’équilibre des coûts se situe autour
                                                    Coûts OVH                  Coûts AZURE                                           du semestre S+4
   Temps de réalisation :
   OVH : 12 mois
   Azure : 6 mois                                     Point d’équilibre des coûts

   (hypothèse : équipe de 8 personnes)

                                                                        DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                                PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                      14
Le chiffrage de la plateforme est fortement dépendant du nombre de projets lancés
                                                                      Nombre                            Hypothèses de croissance pour les projets type 1 et type 2
                                                                     de projets
                                                                                                                                                                                          -20%
                   COMPARAISON                                         100
                                                                                                                                                   -20%
                                                                                                                                                                      -20%
                                                                                                                                                                                    80
                                                                        80                                                                                      70
                                                                                                                             -20%
   Définition de la « projection projet                                                                     -20%
                                                                                                                                           60                                              64
                                                                                                                                                                       56
   atténuée » :                                                         60                                              50                         48
                                                                                                                               40
   ▪   La projection projet atténuée représente                         40
                                                                                       -20%
                                                                                                       40
                                                                                                               32
       la projection projet de référence                                20
       diminuée de 20%                                                            10        8          10      8        15     12          20      16           20     16           20     16
                                                                          0
                                                                                       S                 S+1             S+2                  S+3                  S+4                 S+5

   Phase de fonctionnement, projection de                                                               Type 2 (base)    Type 2 (- 20%)       Type 1 (base)       Type 1 (- 20%)
   référence vs. projection atténuée :
                                                    Coûts non                                                                                                                                     Coûts
                                                                                                     Comparaison des coûts selon les scénarios de croissance
   ▪   Les coûts moyens de fonctionnement du         cumulés
                                                                 phase de                                                       phase de
                                                                                                                                                                                                 cumulés

       scénario de réversibilité OVH baissent de      6,0M€
                                                                réalisation                                                  fonctionnement
                                                                                                                                                                                                 25,0M€

       75 k€ par rapport à ceux issus de la           5,0M€                                                                            Déplacement du point d’équilibre des coûts
       projection de référence (275 k€/S contre                                                                                                                                                  20,0M€

       200 k€/S)                                      4,0M€
                                                                                                                                                                                                 15,0M€

                                                      3,0M€
   Point d’équilibre des coûts, projection de
   référence vs. projection atténuée :                2,0M€
                                                                                                                                                                                                 10,0M€

   ▪   Le point d’équilibre des coûts issu de la                                                                                                                                                 5,0M€
       projection atténuée est retardé d’un           1,0M€

       semestre par rapport à celui issu de la
                                                      0,0M€                                                                                                                                      0,0M€
       projection de référence                                   Coûts de               S                   S+1          S+2                 S+3                S+4                 S+5
                                                                réalisation                 Coûts OVH (base)                        Coûts AZURE (base)                          Coûts OVH (-20%)
                                                                                            Coûts Azure (-20%)                      Coûts OVH cum. (-20%)                       Coûts Azure cum. (-20%)

                                                   DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –                                                                 Point d’équilibre des coûts
                                                           PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                                                                 15
Le chiffrage du scénario de réversibilité repose sur des coûts d’infrastructure, logiciels et humains
                                                                                                Scénario de réversibilité OVH

                                Présentation des coûts de réalisation                                                              Présentation des coûts de fonctionnement
   2,5 M€                                                                                                                                              Coût de fonctionnement sur OVH
                                                                                               2,07 M€
   2,0 M€                                                                                                                 5,0 M€
                                                                                                                          4,0 M€
   1,5 M€                                                                                                                 3,0 M€
                                                                                                                          2,0 M€
   1,0 M€
                                                                                                                          1,0 M€
   0,5 M€                                                                                                                 0,0 M€
                           0,06 M€                                0,06 M€                                                               S             S+1              S+2               S+3             S+4   S+5
   0,0 M€
                     Coût infrastructure                       Coût logiciel                  Coût humain                                        Coût infrastructure         Coût logiciel     Coût humain

   Coûts d’infrastructure1 :                                                                                              Coûts d’infrastructure1 :
   ▪ Les coûts d’utilisation de l’infrastructure sont proportionnels à la durée de                                        ▪ Les coûts d’utilisation de l’infrastructure sont calculés sur la base d’une
     réalisation et sont basés sur la tarification publique                                                                 prévision d’utilisation de la plateforme et de la tarification publique
   ▪ Les coûts des matériels physiques (e.g., HSM) sont basés sur les coûts du
     scénario de la plateforme de préfiguration                                                                           Coûts logicels2 :
                                                                                                                          ▪ Les coûts de support sont basés sur ceux du scénario de la plateforme de
   Coûts logiciels2 :                                                                                                       préfiguration
   ▪ Les coûts des licences logiciels et les coûts d’installation sont basés sur ceux
     du scénario de la plateforme de préfiguration                                                                        Coûts humains3 :
                                                                                                                          ▪ Les coûts de gestion fonctionnelle et de MCS4 de la plateforme sont calculés
   Coûts humains3 :                                                                                                         en fonction du nombre d’utilisateurs
   ▪ Les coûts d’intégration sont calculés suivant l’identification des composants                                        ▪ Les coûts de MCO5 relatifs à la gestion des machines virtuelles sont calculés
     de l’architecture, l’analyse de la complexité de leur intégration et l’association                                     selon le nombre de machines qu’un opérateur peut administrer
     d’une quantité de jours homme à chaque niveau de complexité                                                          ▪ Les coûts de maintien à jour sont calculés sur la base des coûts d’intégration
   1 – Coûts infrastructure : coûts des ressources « IaaS » (calcul, stockage, réseau)
   2 – Coûts logiciels : coûts des ressources type « PaaS » (licences & support)         DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –         4 – MCS : maintien en condition de sécurité
   3 – Coûts humains : coûts d’intégration et d’opération de la plateforme                       PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)           5 – MCO : maintien en condition opérationnelle
                                                                                                                                                                                                                     16
Les coûts du scénario de réversibilité peuvent être comparés aux coûts du scénario de la plateforme préfiguration

            Coût total de réalisation sur OVH : 2,2 M€                                                                      Coût total de réalisation sur Azure : 0,9 M€
   2,5 M€                                                                                                       2,5 M€
                                                                                      2,07 M€
   2,0 M€                                                                                                       2,0 M€

   1,5 M€                                                                                                       1,5 M€

   1,0 M€                                                                                                       1,0 M€                                                                               0,89 M€

   0,5 M€                                                                                                       0,5 M€
                  0,06 M€                             0,06 M€                                                                    0,05 M€                             0,04 M€
   0,0 M€                                                                                                       0,0 M€
             Coût infrastructure                 Coût logiciel                       Coût humain                            Coût infrastructure                Coût logiciel                       Coût humain

                    Coût de fonctionnement sur OVH                                                                                Coût de fonctionnement sur Azure
   5,0 M€                                                                                                      5,0 M€
                                                                                                               4,5 M€
   4,0 M€                                                                                                      4,0 M€
                                                                                                               3,5 M€
   3,0 M€                                                                                                      3,0 M€
                                                                                                               2,5 M€
   2,0 M€                                                                                                      2,0 M€
                                                                                                               1,5 M€
   1,0 M€                                                                                                      1,0 M€
                                                                                                               0,5 M€
   0,0 M€                                                                                                      0,0 M€
             S              S+1                S+2               S+3            S+4             S+5                          S             S+1               S+2               S+3            S+4              S+5

                         Coût infrastructure         Coût logiciel     Coût humain                                                     Coût infrastructure         Coût logiciel     Coût humain

                                                                              DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                                      PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                                               17
▪ Contexte

▪ Etude de réversibilité

▪ Capitalisation sur les travaux menés

                                                                                            18
                                         Copyright © 2017 Capgemini. All rights reserved.    18
Le travail mené lors de la mission du Health Data Hub sert la mise en place de la plateforme cible

                                                                                   La plateforme de préfiguration assure la réversibilité des données stockées
                          Coûts de réalisation du scénario Azure et                et des travaux de recherche qui y sont conduits
                                     postes d’économie
          1,2 M€

                                                                                   Lors d’un portage vers un autre hébergeur, des économies de transfert
                                                                                   importantes (environ 38%) sont permises grâce à :
          1,0 M€                                                                   ▪ Coûts humains – architecture : la conservation d’une grande partie des
                                                                                      travaux d’architecture réalisés (estimation : 50% d’économie)
                                    Architecture

                                                                                   ▪ Coûts humains – développement : la réutilisation d’une partie des codes de
          0,8 M€                                                                      déploiement des ressources non Azure (Citrix, Fortinet, Palo Alto, etc.)
                                                                                   ▪ Coûts logiciels : le portage des licences logicielles achetées
                                                                                   ▪ Coûts d’infrastructure : le portage de la boîte noire transactionnelle (HSM)
          0,6 M€

                Coûts
                                                                                   Ces économies sont néanmoins à relativiser étant donné la faible importance
                                   Développement

              humains
                                                                                   des coûts de réalisation par rapport à ceux de fonctionnement (avantage du
          0,4 M€                                                                   cloud par rapport aux infrastructures dédiées)

                                                                                   Il est cependant important de noter que, même si cette réversibilité est possible,
          0,2 M€                                                            370
                                                                             k€
                                                                                   elle offrira actuellement un niveau de service inférieur à celui proposé par
                                                                           (38%)   Azure :
       Coûts logiciels
                                                                                   ▪ Une expérience utilisateur dégradée
 Coûts d’infrastructure
          0,0 M€
                          Coûts totaux de réalisation   Coûts économisés           ▪ Des coûts et des délais de réalisation plus importants sans compter les
                                                                                        procédures de marché
                                                                                   ▪ Des processus de fonctionnement plus lourds
                                                                                   ▪ Une gestion de la sécurité plus difficile à mettre en place
                                                                 DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                         PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                               19
Annexe

DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
   HUB – PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)
                                                            20
OVH a été retenu parmi les solutions identifiées dans la stratégie Cloud nationale

                      ▪   Acteur identifié dans la stratégie       ▪    Acteur identifié dans la stratégie   ▪   Acteur identifié dans la stratégie
        STRATÉGIE         Cloud de l’Etat                               Cloud de l’Etat                          Cloud de l’Etat
       NATIONALE

                      ▪   Certification HDS sur les Cloud          ▪    Agrément HDS sur l’ensemble          ▪   Renouvellement de l’agrément
                          privé et serveurs dédiés en 2019              des centres de données parisiens         HDS en cours
            COÛT      ▪   Qualification SecNumCloud en                  en 2019                              ▪   Qualification SecNumCloud en
                          cours pour l’offre Cloud privé                                                         cours pour l’offre Cloud Secteur
                                                                                                                 Public
                      ▪   Processeur graphique disponible          ▪    Processeur graphique disponible      ▪   Processeur graphique disponible
                          dans l’offre serveur dédié
         SÉCURITÉ         certifiée HDS

                      ▪   Offre principalement IaaS                ▪    Offre principalement IaaS            ▪   Offre principalement IaaS
                          évoluant sur du PaaS minimisant               induisant des coûts d’intégration        induisant des coûts d’intégration
   FONCTIONNALITÉ         les coûts d’intégration

                                             DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                     PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                 21
Annexe – Architecture envisagée chez OVH

                Openshift                              …          …             …                         …                 …          …               Légende
                                                                                                                                                                 Ressource
                                                                                                                                                                 additionnell
                                                                                                                                                                 e
Managé par le

                                            Conteneu                                           Conteneu
                                               r                                                  r
   HDH

                Machine
                virtuelle

                                  Hyperviseur

                                                                                          Serveur hôte                                            API S3
Managé par

                                                             …
                   Serveur hôte                                                                                                    …
  OVH

                                                                                                                                                       …

                   Espace de                                 …                             Espace de                                       Espace de
                   stockage                                                                stockage                                …       stockage

                                                  Cloud privé                                                     Serveur dédié             Stockage objet
                                                SDDC Healthcare                                               Haut de Gamme Big Data        Cloud Disk Array
                Vrack

                                                                      DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                              PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                  22
Annexe – Caractéristiques de l’offre OVH et hypothèses retenues sur le scénario associé

  Thèmes                                                         Caractéristiques du l’offre / Hypothèses du scénario

  OFFRE SERVEURS DÉDIÉS

  PROCESSEUR GRAPHIQUE DE L’OFFRE SERVEUR DÉDIÉ                  ▪   Les serveurs dédiés Big Data ne peuvent embarquer qu’un processeur graphique dans l’offre OVH, à date
                                                                 ▪   Des cartes graphiques NVIDIA P100 ont été choisies pour les serveurs dédies Big Data
  CONTENEURISATION                                               ▪   L’architecture du scénario OVH repose sur l’utilisation du service PaaS Openshift qui embarque Kubernetes, un
                                                                     logiciel d’orchestration de conteneurs
                                                                 ▪   L’hypothèse d’un nombre de 5 conteneurs par machine virtuelle permet d’optimiser les coûts
  STOCKAGE OBJET                                                 ▪   L’exploitation du stockage objet, sur le scénario OVH retenu, repose notamment sur l’API S3 qui n’est pas active
                                                                     dans l’offre OVH, à date

  TARIFICATION                                                   ▪  Le scénario OVH a été construit en s’efforçant d’offrir une fonctionnalité comparable à la plateforme de
                                                                    préfiguration
                                                                 ▪ Les prix utilisés dans le chiffrage du scénario OVH sont les prix publiques affichés sur le site, avant le 28/10/2019
                                                                 (Sources : Stockage objet, Cloud privé, Espace de stockage additionnel Cloud privé, Serveur hôte additionnel Cloud
                                                                 privé, OVH Cloud Connect, Serveur dédié Big Data, Cloud desktop infrastructure, Openshift)

                                                  DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                          PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                                                 23
Annexe – Hypothèses sur les coûts de réalisation et coûts de fonctionnement du scénario OVH

  Thème                     Hypothèses / Caractéristiques
  COÛTS D’INTÉGRATION       ▪   Les coûts d’intégration ont été calculés en fonction d’un TJM de 1000 € et d’un nombre de jours nécessaires pour l’intégration des différentes briques
                            ▪   Les jours nécessaires ont été déterminés selon la complexité d’intégration : Simple, 5 jours ; Moyen 10 jours ; Complexe, 20 jours; Très complexe, 40 jours
                            ▪   Les coûts totaux d’intégration prennent en compte un facteur multiplicateur (3x) afin de modéliser l’ensemble des étapes de réalisation, à savoir : la spécification du besoin, la
                                conception technique, les coûts de développement, les tests unitaire, les tests d’intégration, l’optimisation de la performance, la période de recette, et la gestion de projet (NB : les
                                coûts liés au maintien en condition opérationnelle et maintien en condition de sécurité ne sont pas inclus)
  NOMBRE D’ÉQUIVALENT       ▪   Une moyenne de 8 équivalents temps plein a été retenue pour le développement de la plateforme en phase d’intégration
  TEMPS PLEIN EN PHASE
  D’INTÉGRATION

  COÛTS                     ▪   Des coûts supplémentaires sont ajoutés au chiffrage d’OVH pour modéliser la différence de complexité de la maintenance des systèmes OVH par rapport à Azure
  SUPPLÉMENTAIRES LIÉS À    ▪   L’hypothèse retenue est que ces coûts annuels représentent 20% des coûts totaux de réalisation
  LA MCO ET MCS

  NOMBRE                    ▪   Chaque utilisateur et opérateur de la plateforme utilise une infrastructure de bureau virtuel dédiée associée à une machine virtuelle
  D’INFRASTRUCTURE DE
  BUREAU VIRTUEL

  ESPACE OPÉRATEUR          ▪   17 machines virtuelles d’administration et 3 conteneurs d’administration ont été dénombrés, en plus des machines virtuelles lié au nombre d’opérateurs
                            ▪   Un besoin d’une capacité de stockage de 100 TB a été retenu
                            ▪   Les traitements réalisés sur l’espace opérateur ne nécessitent pas de recourir à un serveur Big Data

  ESPACE PROJET             ▪   2 machine virtuelles et 5 conteneurs ont été dénombrés par espace projet, en plus des machines virtuelles lié au nombre d’utilisateurs
                            ▪   Un besoin d’une capacité de stockage de 10 TB a été retenu
                            ▪   Les caractéristiques des projets de type 1 sont : une moyenne de 7 utilisateurs, une quantité moyenne de 5 GPU allouées à l’heure, une quantité moyenne de 2 GPU allouée au
                                mois (NB : l’offre OVH ne permet pas, à date, une tarification des serveurs dédiés Big Data à l’heure)
                            ▪   Les caractéristiques des projets de type 2 sont : une moyenne de 20 utilisateurs, une quantité moyenne de 3 GPU allouées à l’heure, une quantité moyenne de 0 GPU allouée au
                                mois (NB : l’offre OVH ne permet pas, à date, une tarification des serveurs dédiés Big Data à l’heure)
  CROISSANCE DES COÛTS      ▪   Le salaire annuel d’un opérateur est estimé à 100k€
  DES OPÉRATEURS            ▪   Un seul superopérateur est nécessaire
                            ▪   Une redondance de chaque type d’opérateur est prise en compte (hors superopérateur)
                            ▪   Un opérateur plateforme peut gérer 350 machines virtuelles (contre 1000 machines virtuelles sur le scénario Azure)
                            ▪   Un opérateur données peut gérer un maximum de 20 projets
                            ▪   Un opérateur projet peut gérer un maximum de 150 utilisateurs
                            ▪   Un opérateur sécurité peut gérer un maximum de 150 utilisateurs

     Phase de réalisation   Phase de fonctionnement                        DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                                                   PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                                                         24
Annexe – Etude de réversibilité : externalisation des services de la plateforme de préfiguration

         Catégorie                Brique                         Actuel                                    Cible           Valeur/Criticité*   Complexité*
                     Serverless                  Azure Function                             Application custom                      2                 2
                     Batch                       Azure Batch                                Application custom                      2                 3
  Général
                     Sauvegarde                  Azure Archive                              Application custom                      1                 2
                     Supervision (MCO)           Azure Monitor                              Centréon                                3                 2
                     Accès VDI                   Citrix Cloud                               Citrix Cloud                            0                 5
                     Droits / Authentification   Azure AD                                   AD/LDAP                                 5                 3
                     Réseau / Firewall           Fortinet / Palo Alto                       Fortinet / Palo Alto                    0                 0
                     Anti-virus / EDR            Trend Micro                                Trend Micro                             0                 0
                     SIEM                        Sentinel                                   Splunk / ??                             5                 2
  Sécurité           Logs                        Log Analytics                              Splunk / ELK                            5                 4
                     Scellement des logs         Tiers archiveur de confiance               Tiers archiveur de confiance            0                 0
                     ITSM                        e-mail                                     ServiceNow                              4                 3
                     SSO                         Azure AD & environnement Azure             AD & écosystème cible                   5                 5
                     Gestion des clés / HSM      Azure Key Vault + nCipher                  nCipher & écosystème                    5                 5
                     VPN                         Azure VPN gateway                          Cisco, FS, etc.                         4                 1
                     Stockage Objet              Blob Storage                               Solution hébergeur                      0                N/A
                     ETL                         Data Factory                               Talend, etc.                            4                 3
                     File Storage                Azure File / ADLS                          HDFS                                    5                 4
  Données
                     Workflow                    Logic App                                  Node red / BPM                          1                 3
                     Chiffrement données         SDK Azure                                  Lib Open source                         2                 2
                     Gouvernance                 Azure data catalog                         Informatica / Collibra                  4                 1
                     DevOps                      Azure DevOps                               GitLab                                  2                 1
                     Execution non distribué     Azure VMDS + patch                         Master ad-hoc                           1                 2
                     Execution distribué         HDInsights                                 Hortonworks                             0                 4
                     Base SQL                    Postgres managée                           Postgres                                0                 3
  Projet
                     Base NoSQL                  CosmoDB                                    Clé valeur, Graphe, Document     à la demande      à la demande
                     Visualisation               PowerBI                                    QlikView, Tableau                       2                 2
                     Ingestion données           Azure explorer                             SFTP                                    1                 2
                     CI / CD plateforme          gitLab (git) (SaaS)                        gitLab (hosted + secured)               5                 1

   * Note de 0 à 5
                                                  DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
                                                          PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)                                                    25
Merci

DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
   HUB – PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)
                                                            26
Vous pouvez aussi lire